[Glaswegian]

Ei hätää.

Melko lähellä - HJT on pohjimmiltaan Rekisterieditori. Kuten te sanotte, se tarkistaa rekisterin ja tuottaa lokin sen tuloksista. Se on useita muita toimintoja kuten hyvin - kestää jonkin aikaa ja saada tietää, mitä ne ovat.

Here's the Services osa log minun PC:

Logfile ja Trend Micro HijackThis v2.0.2
Scan tallennettu klo 21:49:17, on 07.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Käynnissä olevista prosesseista:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ Lsass.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ WINDOWS \ System32 \ Svchost.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
C: \ WINDOWS \ system32 \ CTsvcCDA.exe
E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgrsx.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7Debug \ mdm.exe
E: \ FAH \ smpd.exe
C: \ WINDOWS \ system32 \ nvsvc32.exe
C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
C: \ WINDOWS \ system32 \ Svchost.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ Explorer.exe
C: \ Program Files \ Creative \ Sound Blaster X-Fi \ Volume Panel \ VolPanlu.exe
C: \ WINDOWS \ system32 \ rundll32.exe
C: \ WINDOWS \ SnoopFreeUI.exe
C: \ Program Files \ Creative \ Creative Live! Cam \ VideoFX \ StartFX.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ Communications_Helper.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ LVComSX.exe
E: \ Program Files \ Winamp \ winampa.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgtray.exe
E: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe
C: \ WINDOWS \ system32 \ rundll32.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
E: \ Program Files \ Logitech \ SetPoint \ SetPoint.exe
E: \ Program Files \ Microsoft Office \ Office10 \ msoffice.exe
C: \ Program Files \ Common Files \ Logishrd \ KHAL2 \ KHALMNPR.EXE
E: \ Program Files \ SpywareGuard \ sgmain.exe
E: \ Program Files \ SpywareGuard \ sgbhp.exe
F: \ Iain \ Drivers ja Software \ CoreTemp \ Core Temp.exe
E: \ FAH \ fah6.exe.exe
E: \ FAH \ mpiexec.exe
E: \ FAH \ smpd.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ Program Files \ Mozilla Firefox \ firefox.exe
E: \ Program Files \ HJTHotkey \ HJTHotkey.exe
E: \ Program Files \ Keynote \ keynote.exe
C: \ WINDOWS \ System32 \ Svchost.exe
C: \ Documents and Settings \ All Users \ Application Data \ LGMOBILEAX \ B2C_Client \ LGUserCSTool.exe
F: \ Iain \ HijackThis \ HiJackThis.exe


Esitän, että 52 prosesseja. Oma Task Manager sanoo 81 prosesseja.

Tutustu mainituista jalostustoimista sinun kirjautua ja ne on lueteltu teidän Task Manager ja kerro minulle, mikä on erilainen.

[Glaswegian]

Tarkoitin lisätä tämä - tämä on alaosaa minun log

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C: \ WINDOWS \ ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
O23 - Service: AVG8 Watchdog (avg8wd) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.exe
O23 - Service: Diskeeper - Diskeeper Corporation - E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
O23 - Service: FAH @ E: + Program Files + Folding @ Home Windows SMP Client V1.01 + fah.exe - Unknown owner - E: \ Program Files \ Folding @ Home Windows SMP Client V1.01 \ fah.exe (file puuttuu)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C: \ Program Files \ Common Files \ Logitech \ Bluetooth \ LBTServ.exe
O23 - Service: MPICH2 Process Manager, ARGONNE National Lab (mpich2_smpd) - Unknown owner - E: \ FAH \ smpd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe
O23 - Service: Snoop Free Service (SnoopFreeSvc) - Unknown owner - C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - E: \ Program Files \ VMware \ VMware Workstation \ VMware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C: \ WINDOWS \ system32 \ vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C: \ Program Files \ Common Files \ VMware \ VMware Virtual Image Editing \ vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C: \ WINDOWS \ system32 \ vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe

Ei monet palvelut olemassa, on olemassa? Voitko ajatella syy, miksi niin harvat palvelut todellisuudessa näy?

[Bubba]

Ensimmäinen kysymys on helppo. The HJT loki ei näy mitään minun järjestelmän prosesseja. En kuitenkaan tiedä, miksi. Olen ollut jatkaa tätä Malware U kuin hyvin, ja on ollut muutamia vastauksia, mutta ei ollut lopullinen. Yksi on se, että ehkä HJT ei ole määritetty Vista64, toinen sanoo, tämä on normaalia, että kaikki Vista HJT loki. Vielä todettava, että kaikki 023 (palvelu) merkinnät eivät kunnolla näkyviin, joka vie meidät takaisin joko yhteensopimattomuus on Vista64 tai Vista yleensä. Minulla ei ole OK päällä helkutti, minulla ei ole mitään MS turvallisuus tavaraa päällä.

Siitä, miksi yoou on 81 prosesseja käynnissä ja HJT näyttää vain 52, en tiedä. Minulla on HJT loki tämä tietokone (tein ensimmäinen PL00a sen kanssa), ja i vertaa, mikä on osoittaa, että HJT loki, mitä näkyy Task Manager ja saada takaisin sinulle. Aion tarkastella myös palvelujen ja katso, mitä voin selvittää

Huomaa: Koska kirjoitan tätä, olen käyttäen minun vanha kone jossa on Vista-koneessa.

[Glaswegian]

Saatat löytää opetusohjelma on HJT olla apua - se on jotain Kehotan harjoittelijat lukea ensimmäinen joka tapauksessa.

http://www.bleepingcomputer.com/tuto...utorial42.html

[Bubba]

Oikaistaan ensin minun edellä postitse. Oma vanha kone (joka I'm doing tämä liian lol), on XP kone ei Vista koneeseen. Prosessit kysymys revisted alkaen XP machine:

I reran HJT ja kopioinut prosessin osa sitten immedially avannut Task Manager ja verrattuna numerot. Minulla oli 50 prosesseja HJT ja 58 Task Manager. Olen kirjoittanut Task Manager luettelo levylle notepad doc ja sitten meni läpi HJT luettelosta. I poistettava Task Manager luettelo kaikesta, oli osoittaa, että HJT luettelo, jotta näet, mitä oli jäljellä. Kaksi kysymystä, ennen kuin menen pidemmälle:

1). Onko olemassa tapa saada prosessi luettelo Task Manager sijaan tekevät sitä, mitä tein, IE: avaa notepad doc ja käsin Kirjoita merkintä?

2). Task Manager osoittaa vain merkintä, kuten "Winlogon.exe" vaikka HJT näkyy koko polku (on polku oikea termi?) Kuten C: \ WINDOWS \ system32 \ Winlogon.exe. Koska prosessi I käytetään esimerkkinä, Winlogon.exe voidaan haittaohjelmien (troijalaisen mielestäni), jos se ei polku C: \ WINDOWS \ system32 olisi mukava tietää, että koko polku. Miten saan koko polku Windows Task Manager?

Palaa minun prosesseja, olen oikeastaan päätyi 11 vasemmalle luetteloon, ei 8. Voin ajatella kaksi syytä that.Off 11, kolme Svchost.exe "s. Olen mahdollisesti jäänyt se, kun poistamalla yhden luettelo muille. Yksi prosessi osoittaa, että HJT luettelo HJT mikä tietenkin ollut avoin, kun tein Task Manager niin se ei näy siellä. Tämä eliminoi 2. Jäljelle jäävästä 9, 2 olivat notepad.exe 's, joita ei ole avoinna, kun Tein HJT ja kaksi olisi kaksi muuta Svchost.exe "s. Olen löytänyt vielä mitään, joka kertoo, mikä avaa niistä, vain, että ne ovat laajasti käytössä Windows. Jäljelle jäävistä 5 prosesseja ei näy HJT kaksi:
System:
järjestelmä on prosessi, joka näkyy niihin tehtäviin lähinnä Windows XP, Windows 2003-palvelimen ja uudempi Windows-versio. Tämä on oletusarvoisesti järjestelmän counter eikä niitä voi poistaa.

System Idle Process:
järjestelmän tyhjäkäynnillä ei ole prosessi, lisää vastakanne, joka näkyy WinTasks avulla mitataan, kuinka paljon tyhjäkäynnillä kun CPU on ottaa mihinkään tiettyyn aikaan. Tämä laskuri näyttää kuinka paljon CPU Resurssit, prosenttiosuus on "tyhjäkäynnillä" ja käytettävissä. Ei voi tappaa.

Oletan, että nämä kaksi avata kanssa Task Manager ja näin ei olisi nähty. Jäljelle jää kolme, joista kaksi olen clueless sille, miksi ne eivät näytetään HJT, erityisesti yksi Mediasoitin koska mediasoitin on aiemmin hyväkseen haittaohjelmien se ei ole? Ne ovat:

alg.exe:
The alg.exe executable avulla sovellukset (kuten chat-asiakkaille, RTSP, BitTorrent, SIP-ja FTP), joka asiakastietokoneeseen dynaamisesti hyödyntää passiivinen TCP / UDP-portit-viestintään, joiden tiedetään portteja palvelimeen.

wmpnetwk.exe:
wmpnetwk.exe on tärkein executable for Windows Media Player Network Sharing Service. Sitä käytetään jakamaan Windows Media Player-kirjastot.
taskmgr.exe

Loput on:

csrss.exe:
Microsoft Client Server Runtime Server osajärjestelmän hyödyntää prosessin csrss.exe hallinnoinnista enemmistö graafinen ohje asetetaan mukaan Microsoft Windows-käyttöjärjestelmän. Csrss.exe valvonnan ketjuttaminen ja Win32 console ikkunan ominaisuuksia. Ketjuttaminen on jos hakemus jakaa itse useisiin samanaikaisesti käynnissä olleet tehtävät.

Vaikka en ole täysin varma, luulen, että tämä olisi voinut avata jälkeen juoksin HJT kun olen avannut useita esimerkkejä notepad kirjoittaa ja vertailla tietoja. Any thoughts tai critiques olet siitä, mitä juuri kirjoitti olisi appreciated. Minulla on päättynyt ensimmäinen Excercise (ja oli se critiqued jonka ohjaaja), klo Malware U, joten tämä on jotain ylimääräistä oma halu oppia enemmän ja paremmin ymmärtää prosesseja, ja näin ollen en aio olla "pettäminen" on pyydämme teitä siitä.

Kuten palveluihisi kysymys: en ole tutkittu sitä täysin vielä, eikä huolellisesti tutustunut tiedot Aion tehdä jotain vastaavaa oman HJT log kuten tein oman prosessin loki, vertaamalla 023 lista on todellinen palvelujen luettelosta mutta suoralta kädeltä ............

Pieni Olen lukenut ja voinut ymmärtää liikennepalveluista johtaisi minut uskomaan, että luettelo on lyhyt, koska se on vain osoittaa avoimen palvelut, ei ennen niitä tai ......... crap, unohdan kaksi muuta luokkaa sevices lol, minkä vuoksi minun on tehtävä enemmän tutkimusta. Anyways, jos olen oikealla tiellä, että haluan tietää.

kiitos. Kiitos ajastasi ja haastava minun olla varma siitä, mitä olen oppimista ennen kuin juoksuputki se pois. En usko, että on yhä sellainen asia kuin "liian paljon opetus" tai "liian paljon oppimista." Helkutti, siellä on niin paljon tietoa, että on mahdotonta koskaan alkaa oppia kaiken.

[Glaswegian]

Olet sinne. Teitkö lukea opetusohjelman milloin BC? Siinä mainitaan Sallittujen - Että voisi auttaa hieman.

Kuten aiemmin sanoin, en aio vastata konkreettisiin kysymyksiin, kuten niitä, jotka koskevat Winlogon, koska ohjaajia klo MU käsittelee asioita, kuten esimerkiksi, että omalla tavallaan. Ne meistä, jotka osallistuvat opetuksen kaikilla on oma menetelmiä ja tapoja "ja se ei olisi oikein minulle yrittää ennakoida tyyliin joku muu.

Prosessi on vain ohjelmiston käynnissä tietokoneeseen. Jotkin palvelut ovat prosesseja samoin, joka alkaa, kun PC saappaat - toisin sanoen, ei käyttäjän toimia tarvitaan käynnistää ne.

Mitään käsitystä, miksi oli enemmän kuin yksi Svchost palvelun osoittaa?

[Bubba]

Olen lukenut, että opetusohjelma koska aloitin lol, ja melkein ymmärtää noin 1 / 4 siitä (se on yhdistetty yhdeksi ensimmäinen mitä he haluavat meidän lukea). Minulla on Myöhästyin valkoisia listoja mutta I'll palata taaksepäin ja tarkistaa erityisesti, että.

Mitä folks at Malware U vastaamalla kysymyksiin, joita olen aiheuttanut sinulle, ne eivät ole. Olen ollut säikeen lähetetty siellä lähes kaksi päivää ilman yhden vastauksen. Minulla on katsottu 40 kertaa, joten knpow se on nähty, mutta ei vastauksia. Se on hitaasti uppoaa alas luettelosta ja tulee lopullisesti haudattu osaksi epäselvyyttä, vaille Pelkään, että myöhään huomenna tai varhain keskiviikkona.

Täällä on niin monia tapauksia Svchost ohjaamisesta irtisanomis-ja luotettavuus (koko asian olla rajakkain vie niin paljon. Exe ja kääntämällä ne. Dll's ect ....). Tämä on luultavasti ainoa asia, josta olen tiennyt ennen kuin aloitin tämän kurssin, mutta kuten tavallista, ei ymmärtänyt täysin, eikä tiedä, miten voit kertoa mitä Svchost oli huolto mitä. Löysin juuri kuitenkin suuri opetusohjelma noin se howtogeek.com joka osoittaa, kuinka pääsen komentoriviltä. LOL äsken näytti jälleen, ja se kerrotaan siitä, miten saada ja käyttää Process Explorerista. Olen kysyi että siellä samoin. Tässä on linkki, se näyttää hyvältä minulle. I t osoittaa, miten tehdä se niin XP ja Vista. Minun täytyy mennä lukemaan, että nyt ja seuraa kaikki linkit siitä.
http://www.howtogeek.com/howto/windo...is-it-running/

[Glaswegian]

Hei taas

Se on aika hyvä selitys Svchost. Saatat myös haluta käyttää jotain Process Explorer tarkastella joka dll-tiedostot on ladattu omaan järjestelmään. Se voi olla varsin paljastavia. Myös tarkistaa Autoruns.

Jälleen kerran, en halua ennakoida mitään, joka voidaan tulevina teidän tavoin MU, mutta epäilen, ne voidaan myös etsivät tehdä joitakin tutkimus-ja ainakin mennä vastaamaan kysymyksiin (tämä on tapa I toimisi ...).

Jos olet todella pulassa kieltävää vastausta, post takaisin tänne ja joko itse tai EF yritämme parhaamme antaa vastaus.